如何解决CentOS7下Apache2.4访问index.html的权限拒绝问题?
我之前在EC2上部署CentOS7+Apache时碰到过完全一样的报错,这种AH00035: access to /index.html denied的问题,90%的概率不是文件本身的权限,而是路径上的父目录缺少搜索(执行)权限,或者SELinux在搞事情。下面一步步帮你排查解决:
1. 先确认Apache运行的用户
你的配置里指定了user=apache,但还是先验证一下实际运行用户:
ps aux | grep httpd
输出里的用户列应该显示为apache,记好这个用户身份。
2. 检查路径上所有父目录的搜索权限
Apache要访问/codebase/projects/<project>/src/client/<project>/index.html,必须能遍历从根目录到该文件的每一层目录——目录的执行权限(x)就是搜索权限,哪怕不需要读写目录内容,只要有x权限才能进入目录查找文件。
查看每一层目录的权限
执行命令检查所有父目录的权限状态:
ls -ld /codebase /codebase/projects /codebase/projects/<project> /codebase/projects/<project>/src /codebase/projects/<project>/src/client /codebase/projects/<project>/src/client/<project>
如果某个目录的权限是drwxr-x--- root root,意味着apache用户既不属于root用户,也不在root组,完全没有权限进入这个目录,直接触发权限拒绝报错。
修复目录权限
有两种稳妥的修复方式:
方式一:给apache所在组添加执行权限
如果你的目录所属组是配置里的<group-name>,先把apache用户加入这个组:
usermod -aG <group-name> apache
然后给每一层父目录添加组执行权限:
chmod g+x /codebase /codebase/projects /codebase/projects/<project> /codebase/projects/<project>/src /codebase/projects/<project>/src/client /codebase/projects/<project>/src/client/<project>
方式二:给其他用户添加执行权限(适合快速测试,不推荐生产环境)
chmod o+x /codebase /codebase/projects /codebase/projects/<project> /codebase/projects/<project>/src /codebase/projects/<project>/src/client /codebase/projects/<project>/src/client/<project>
3. 排查SELinux(CentOS7默认开启的“隐形坑”)
CentOS7默认SELinux是Enforcing模式,哪怕文件和目录权限都配置正确,SELinux也会阻止Apache访问自定义路径下的文件。
临时关闭验证
先临时关闭SELinux测试是否是这个问题:
setenforce 0
然后重新访问index.html,如果能正常打开,说明确实是SELinux的限制导致的。
永久解决SELinux问题
方法一:设置正确的文件上下文
给静态文件目录设置Apache允许访问的SELinux标签:
chcon -R -t httpd_sys_content_t /codebase/projects/<project>/src/client/<project>
这个命令会把目录下所有文件的SELinux上下文改成Apache有权限读取的类型。
方法二:允许Apache读取用户自定义目录
如果需要让Apache访问更多自定义路径,可以执行:
setsebool -P httpd_read_user_content 1
-P参数会让这个设置永久生效,重启系统也不会失效。
4. 验证index.html本身的读权限
最后确保文件本身允许apache用户读取:
ls -l /codebase/projects/<project>/src/client/<project>/index.html
如果权限是-rw-r-----,可以给组或其他用户添加读权限:
chmod g+r /codebase/projects/<project>/src/client/<project>/index.html # 或者 chmod o+r /codebase/projects/<project>/src/client/<project>/index.html
5. 重启Apache服务
所有权限修改完成后,一定要重启Apache让配置生效:
systemctl restart httpd
现在再访问http://<你的EC2公网IP>:8080/index.html,应该就能正常打开了。
内容的提问来源于stack exchange,提问作者Ganesh Gupta
